改变陋习、塑造优行,从来都不是一蹴而就的事情,它是一条布满荆棘、考验人心智的漫漫征途。这份恒心与毅力是必要的,无关乎习惯的领域——无论是个人日常生活中亟待摒弃的坏习惯,还是企业内部那些早已不合时宜、甚至构成风险隐患的安全实践。当过往的习以为常失却了必要性或可靠性,蜕变便势在必行。
我们的企业若还沉溺于过往,依赖着安全效能早已“过期”的方法或技术,这就等同于为风险和威胁敞开大门。对此,国外安全专家罗列出了几项过时的安全做法。
01
仅靠边界防护
国际油轮运输企业(主营原油及石油产品能源运输)CIO兼CISO Amit Basu指出,当今工作环境高度依赖云端基础设施,普遍呈现远程化与分布式特征。Basu强调:“守护物理边界的传统模式已然失效。在云优先与混合办公场景下,用户及数据同时存在于传统边界内外,单纯依赖边界防护将使组织在横向移动攻击、勒索软件渗透和数据窃取面前极为脆弱。”他主张采用零信任原则:永不信任,持续验证,无关访问位置。
02只采取合规驱动的安全方法
Bedrock Security首席安全官George Gerchow指出:多数团队陷入由合规要求主导的安全建设误区,过度关注打勾(check-the-box)式任务,忽视实质威胁应对。大量企业虽满足合规标准却仍遭数据泄露,根源在于将监管要求凌驾于真实风险治理之上。Gerchow警示合规导向会滋生虚假安全感,并挤占实际威胁应对资源:“这种GRC(治理、风险与合规)驱动模式已然功能失调。常见现象是:大型GRC团队疲于应对客户问卷与审计流程,却疏于数据保护、访问控制及新兴威胁监控。”据《2025企业数据安全信心指数》报道,82%安全负责人存在关键数据可见性缺失,65%需数天乃至数周定位敏感数据。
Gerchow对此表示:“合规无法根治此症结,仅能生成问题报告。”同时他呼吁企业要回归安全本源,即纵深防御、零信任架构及CARTA(持续自适应风险与信任评估)动态监控框架。
03依赖老旧的VPN技术
CDW全球安全战略主管Buck Bell剖析了传统VPN缺陷:架构臃肿,效率低下,管理复杂且易引发严重停机事故。Bell表示:“传统VPN已无法适配现代办公需求——尤其是企业需为内勤/远程团队提供无缝资源访问的场景。依赖过时VPN技术将放大风险——滞后补丁机制使组织暴露于网络威胁;扩展性缺陷更会持续衍生挑战,因其难以匹配组织演进中的安全需求。”
Bell提出革新方案:转向SASE(安全访问服务边缘)架构并践行零信任理念。“新范式通过对每次访问请求进行用户-设备双因子验证增强安全,可颠覆VPN被动信任机制,为远程办公建立更可靠的主动防御体系。”
04误以为EDR即可提供充分防护
网络安全厂商NopalCyber首席解决方案架构师Michel Sahyoun指出:端点检测与响应(EDR)虽显著优于传统杀毒软件,但在当今威胁格局下,单一依赖EDR存在严重局限。EDR在监控端点活动、行为分析及狩猎复杂攻击方面表现卓越,但攻击者正全面转向绕过端点,直击云环境、网络设备与嵌入式系统。
Sahyoun对此警示:“过度依赖EDR将产生致命盲区。即使端点固若金汤,攻击者仍可在云/网络/嵌入式系统中横向移动、窃取数据而不触发告警,导致长期入侵、勒索攻击未被察觉等情况。”
Sahyoun特别强调:攻击者通过劫持OAuth令牌,可在零接触EDR监控端点的情况下非法访问Microsoft 365、Google Workspace或AWS。“网络与IoT设备因监控能力薄弱而形成盲区,且云环境会因日志缺失、可见性功能付费墙及检测内容匮乏等情况进一步加剧风险,这种利用信任关系、身份与API的攻击范式,会使端点中心的EDR机制彻底失效。”
05使用短信(SMS)进行双因素认证
Microsoft Security高级安全保障主管Aparna Himmatramka表示:短信双因素认证(SMS-2FA)曾被视为密码认证的重大升级,但其固有脆弱性现已暴露无遗。她指出,电信基础设施架构设计未将安全性作为首要考量:“更关键的是,蜂窝网络沿用可被利用的过时协议,且号码转移流程缺乏严格身份验证。”
对此,Himmatramka揭示道:“与蜂窝网络伴生的核心威胁是SIM置换攻击(SIM-swapping)——犯罪者诱骗运营商将受害者号码转移至其控制设备,从而拦截认证短信。”
06依赖本地部署的SIEM
磐石公司的CISO Gerchow(兼IANS Research安全顾问)指出:本地部署SIEM工具存在双重缺陷——既会诱发告警疲劳,又缺乏云端环境感知能力。这迫使企业面临两难:高昂迁移海量日志或牺牲云部署关键日志。Gerchow对此表示:“天价存储成本迫使企业筛选日志,实则是对押注安全决策的豪赌。”Gerchow剖析多数企业固守本地SIEM源于对云上敏感数据的恐惧,但很显然,现实已无法逆转,企业必须前瞻云端方案。
07让终端用户仅作安全文化的被动参与者
XTIUM首席技术顾问Kevin Sullivan强调:人为因素始终是安全体系最脆弱环节。“攻击者只需要成功一次,就能在攻击中瞄准数百万的人物目标、流程和系统,而防守方则必须日复一日的防御,且次次都要做对。”
Sullivan说,没人会认为自己可能成为钓鱼攻击的受害者,但事实上人们却不断落入钓鱼圈套。“你只需要在错误的日子、错误的时间逮住一个用户就行了。高级社会工程已能融合LinkedIn/Facebook等开源情报(OSINT),攻击的复杂程度可谓前所未有。”
Sullivan相信,主动安全防御才是解决之道。部署正确的安全工具和实践对任何企业都很重要,但构建安全意识培训,教育并赋能用户,使其成为守护数据、系统和业务运营的主动角色才是最为关键的一点。“若无对持续教育、事前准备和防御参与的持续投入,即便在安全工具、解决方案和策略上投入巨资,企业也必将失败。一个知识扎实、准备充分的用户群,才是第一道也是最坚固的防线。”
08结语
归根结底,安全的核心目标在于保障业务和价值。依赖过时的防护手段,不仅无法有效抵御新型威胁,更会耗费资源、阻碍发展。淘汰这七项实践,意味着将安全重心回归本源:保护关键资产(数据、应用、身份)、实现有效可见性与控制、构建全员参与的积极防御生态。通过采纳零信任、SASE等先进框架,并大力投资于用户安全意识教育,企业方能化被动响应为主动防御,让安全真正成为业务创新与成功的坚实后盾,而非拖累前行的历史包袱。
原文地址:
https://www.csoonline.com/article/4022848/7-obsolete-security-practices-that-should-be-terminated-immediately.html
文章来源:安在
暂无评论内容